106320 MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Lub
89879 MM/DD/YYYY HH:mm:SS PM 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME
71193 MM/DD/YYYY HH:mm:SS PM 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
Na serwerze NetWorker, w wierszu polecenia root lub administratora, uruchom następujące polecenie:
nsradmin -C -y -p nsrexecd "nsr peer information"
To polecenie sprawdza każdy zasób certyfikatu równorzędnego w nsrladb serwera NetWorker i próbuje go naprawić. Ta operacja może być również konieczna na klientach zgłaszających ten problem. Może się tak zdarzyć w przypadku wielu klientów i trudno jest wyizolować wszystkie hosty, które wymagają korekty.
Poniższy proces może posłużyć do określenia, które systemy wymagają uruchomienia "nsradmin -C -y .." lub mogą wymagać ręcznego usunięcia informacji równorzędnych.
1. Renderuj daemon.raw:
nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
NetWorker: korzystanie z nsr_render_log
2. Utwórz plik zawierający tylko błędy połączenia uwierzytelniania GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
lub:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
cat GSS_error.out | awk {'print $24'} | sort > client.out
To polecenie używa poleceń awk i print systemu Linux w celu wydrukowania tylko kolumny zawierającej nazwę klienta z pełnego komunikatu o błędzie połączenia SSL. W zależności od użytego numeru filtra może być konieczna modyfikacja numeru wydruku w celu poprawnego wydruku nazw klientów.
4. Przejrzyj plik za pomocą unikatowego polecenia, aby wyświetlić tylko jedno wystąpienie każdego klienta zgłaszanego problem:
cat client.out | uniq
Przykład:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
Nazwy hostów w powyższych danych wyjściowych zostały zmienione; Jednak w porównaniu z daemon.raw, która może zawierać setki wpisów dla garstki klientów, teraz widzimy tylko jeden wpis dla każdego klienta, który zgłosił to zachowanie.
5. Połącz się z systemami klienckimi zgłoszonymi za pomocą SSH lub RDP i użyj wiersza poleceń root/administratora, aby uruchomić:
nsradmin -C -y -p nsrexecd "nsr peer information"
Uruchomienie tego polecenia na serwerze i kliencie powinno zapewnić, że nsrladb w każdym systemie zawiera prawidłowe informacje o certyfikatach równorzędnych. W przypadku wykrycia niezgodności certyfikat zostanie usunięty, a następna próba połączenia między serwerem a klientem powinna wygenerować nowy.
Wyświetlone polecenie nsradmin pokaże, które hosty mają niezgodność i jakie działania zostały podjęte w danych wyjściowych.
Ręczne usuwanie informacji równorzędnych jest szczegółowo opisane w: NetWorker: Naprawianie niespójnych informacji równorzędnych NSR
6. Pliki wyjściowe można usunąć, gdy nie są już potrzebne:
rm -rf filename
1. Otwórz wiersz poleceń programu Windows PowerShell jako administrator.
2. Zmień katalogi na katalog "logs" NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"
W przykładzie założono, że używana jest domyślna lokalizacja instalacji. Jeśli zainstalowano NetWorker w innej lokalizacji, odpowiednio zmodyfikuj polecenie.
3. Renderuj daemon.raw:
nsr_render_log daemon.raw > daemon.out
NetWorker: korzystanie z nsr_render_log
4. Utwórz plik zawierający tylko błędy połączenia uwierzytelniania GSS:
Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
lub:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique To polecenie dzieli dane wyjściowe na spacje i drukuje tylko kolumnę zawierającą nazwę klienta z pełnych komunikatów o błędach połączenia GSS. W tej kolumnie mogą pojawić się inne informacje; jednak hosty NetWorker powinny być identyfikowalne. W zależności od użytego numeru filtra może być konieczna modyfikacja numeru wydruku w celu poprawnego wydruku nazw klientów.
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
6. Połącz się z systemami klienckimi zgłoszonymi za pomocą SSH lub RDP i użyj wiersza poleceń root/administratora, aby uruchomić:
nsradmin -C -y -p nsrexecd "nsr peer information"
Uruchomienie tego polecenia na serwerze i kliencie powinno zapewnić, że nsrladb w każdym systemie zawiera prawidłowe informacje o certyfikatach równorzędnych. W przypadku wykrycia niezgodności certyfikat zostanie usunięty, a następna próba połączenia między serwerem a klientem powinna wygenerować nowy.
Wyświetlone polecenie nsradmin pokaże, które hosty mają niezgodność i jakie działania zostały podjęte w danych wyjściowych.
Ręczne usuwanie informacji równorzędnych jest szczegółowo opisane w: NetWorker: Naprawianie niespójnych informacji równorzędnych NSR
7. Pliki wyjściowe można usunąć, gdy nie są już potrzebne.